NIS2 a nové unijní nařízení o kybernetické bezpečnosti

Evropská komise dne 17. 10. 2024, tj. na den přesně, kdy členským státům EU uplynula lhůta pro transpozici směrnice NIS2, publikovala prováděcí nařízení, které má upřesnit vybrané postupy v oblasti kybernetické bezpečnosti.

Nařízení obsahuje prováděcí pravidla ve vazbě na směrnici NIS2, pokud se jedná o technická zařízení a metodické požadavky na opatření k řízení rizik v oblasti kybernetické bezpečnosti a bližší specifikace případů, kdy je incident považován za významný s ohledem na poskytovatele služeb DNS, registry doménových jmen, služby cloud computingu, služby poskytovatelů datových center, služby poskytovatelů sítí pro doručování obsahu, služby poskytovatelé řízených a řízených bezpečnostních služeb, služby poskytovatelů online tržišť, internetových vyhledávačů a platforem pro služby sociálních sítí, a činnost poskytovatelů služeb vytvářejících důvěru.

Podle prováděcího nařízení bude incident považován za závažný, pokud například způsobí škodu povinné osobě přesahující 500 tisíc eur (či alespoň 5 % jejího ročního obratu) nebo pokud dojde k neoprávněnému přístupu do klíčových systémů. Opakující se incidenty (opakované útoky se stejnou příčinou) budou považovány za závažné, i když jednotlivě nedosáhnou stanovených limitů.

Návrh nového českého zákona o kybernetické bezpečnosti je aktuálně projednáván v Poslanecké sněmovně, kdy v rámci činnosti výborů, kterým byl návrh přikázán, probíhají úpravy, včetně otázky bezpečnosti dodavatelských řetězců. Připomínky k návrhu zákona a pozměňovací návrhy nadále monitorujeme.

Autor: Mgr. David Mareš, Ph.D.